На первый взгляд, кажется, что информационная безопасность и аутсорсинг — вещи мало совместимые, поскольку кто же в здравом уме и твердой памяти будет отдавать на аутсорсинг такую деятельность? На самом деле, при трезвом рассмотрении, оказывается, что как раз информационная безопасность, как и, скажем, бухгалтерия, относится к немногим вещам, которые не просто можно, а прямо-таки нужно отдавать на аутсорсинг.

Инфобез важен? Безусловно. Вопрос: кто лучше справится с задачей его обеспечения — безопасник с небольшим опытом работы, которого вы в состоянии нанять, или несколько десятков безопасников с приличным опытом, уровнем знаний и сплоченностью коллектива? Ответ, как мне кажется, вполне очевиден. Возникает, правда, закономерный вопрос: если нам с трудом хватает денег на одного слабого безопасника, откуда мы возьмем целую толпу сильных? Для этого и придумана такая штука, как аутсорсинг.

Приличная команда неплохих безопасников может обеспечивать безопасность достаточно большого числа компаний, получая от каждой из них не самые большие деньги, но если сложить все компании вместе, то заработок получится уже достаточно приличным. Вот как это работает. Современные технологии позволяют обеспечить удаленное решение проблем информационной безопасности, на первый план выходит уже не присутствие человека физически на своем рабочем месте, а его компетенция.

К сожалению, тех, к кому можно было бы прийти за решением своих проблем в сфере информационной безопасности, сегодня мало. Они сегодня больше занимаются консалтингом, а это уже немного другое. Но если поискать, то практически в любом достаточно крупном городе обнаружится компания, готовая предоставить аутсорсинговые услуги в сфере информационной безопасности за более-менее вменяемые деньги. Имейте это в виду, господа руководители. На первый взгляд, это кажется абсурдом, но на самом деле, это вполне реальный способ сэкономить.

Конечно, выбор компании, которой вы хотите отдать на аутсорсинг ИБ — дело более чем ответственное, потому что выбрав недостаточно надежного поставщика услуг, можно лишиться не только денег, но и конфиденциальных документов. Впрочем, это достаточно сложная тема, чтобы пытаться вместить её в один пост на блоге.

Я постарался собрать все мысли по поводу аутсорсинга и консалтинга в сфере ИБ в одной статье, буду признателен, если вы поделитесь своими комментариями здесь или на сайте, где она была опубликована.

Информационная безопасность и аутсорсинг

Предыдущим постом навеяно. Сейчас много говорят о безопасном поведении в социальных сетях, постоянно напоминают о хакерских и фишинговых атаках, но, по сути, от самого пользователя не зависит ничего – он может только устанавливать пароль и не кликать по вредоносным ссылкам. Все остальные меры безопасности ложатся на плечи владельцев сети.

Для рядового пользоватя это, конечно же, плюс, т.к. сам он вряд ли сможет обеспечить безопасность своего аккаунта лучше, чем целый штат тех. поддержки сайта. Но вот с корпоративными аккаунтами дело обстоит иначе, для них не всегда достаточно тех мер, которых хватило бы для обычного участника соцсети. И многочисленные инциденты со взломом учетных записей и большим резонансом в СМИ тому подтверждение.

Создавая свой аккаунт в социальной сети, организация соглашается, по сути, на аутсорсинг, потому что практически никак не может повлиять на защиту и работоспособность своей «учетки».  Но и это не все. Ко всем минусам аутсорсинга добавляется еще и его закрытость – владельцы социальных сетей не раскрывают способы, какими они обеспечивают безопасность аккаунтов, а значит, и оценить их эффективность можно лишь по результату – взломали / не взломали. Что, согласитесь, внушает некоторую степень опасения.

Конечно, Павел Дуров или Марк Цукерберг вряд ли прочитают  этот пост. Но тенденция идет к тому, что ценность информации, распространяемой с официального аккаунта компании в социальной сети, возрастет с каждым днем. Долго ее игнорировать и продолжать «играть в прятки» с другими компаниями нельзя.

К сожалению, сейчас даже платные аккаунты в соцсетях не могут усилить их безопасность, потому что чаще всего предлагают лишь владельцу сертифицировать «учетку», расширить функционал, получить более подробную статистку по странице. И все. Все это, конечно, полезные и нужные инструменты, но вряд ли они помогут при хакерской атаке.

А между тем, существуют технологии, которые при интеграции в социальные сети моги бы существенно обезопасить ценный аккаунт. Имеется в виду, конечно же, двухэтапная аутентификация, цифровые ключи, биометрические сканеры и прочие модные средства современной защиты. Уверен, нашлись бы компании, которые бы согласились защищать свою страницу в социальных сетях такими способами.

В новостях иногда проскакивают сообщения, что соцсети думают о том, чтобы применять эти способы аутентификации. Но не окажется ли, что когда они все же окажутся реально доступны, будет уже поздно?

Кто ответит за безопасность корпоративного аккаунта в соцсетях?

Twitter, хакерские группировки и информационные агентства. Что общего между этими понятиями? Как показали новости последних дней, это все в совокупности — простой, но эффективный способ осуществления кибератак.

Итак, новость номер раз: Заместитель редактора социальных сетей информационного агентства Reuters Мэттью Киз уволен за помощь «анонимусам». Вина подозреваемого еще не доказана и сам он ее отрицает, однако руководство поспешило отстранить Киза от выполняемых им обязанностей. В частности, ведения официального Twitter-аккаунта.

Казалось бы, что такого может сделать потенциальный злоумышленник, даже получив доступ к учетной записи в социальных сетях? Основными каналами распространения информации от агентств все равно ведь служат печатные СМИ, новостные сайты и телевидение. Но уже следующий день показал, насколько правы были в своих опасениях сотрудники Reuters.

Беда нагрянула к их конкурентам, агентству Associated Press, и пришла она именно через взлом официального Twitter-аккаунта:

Во вторник, 23 апреля, злоумышленники разместили на страничке AP сообщение о том, что в Белом доме произошли два взрыва, в результате которых президент Барак Обама получил ранения. Под влияние ложной новости попали фондовые рынки США. Так, более чем на 100 пунктов — ниже отметки в 14600 пунктов — упал индекс Доу-Джонса. Также упали индексы основных американских бирж.

На «утку» попались не только подписчики страницы Associated Press, но и очень многие новостные порталы, что только усугубило эффект взлома. Как видно, взломанный Twiiter крупной компании — это точно такая же угроза, как и традиционные методы информационных атак: хакерские нападения, утечки информации, физическая кража документов. Возможно, атака на социальные сети даже в чем-то и опаснее — ее невозможно скрыть, а последствия — оперативно устранить, т.к. пользователи в течение нескольких минут разносят ложную информацию по всей сети. И как видно, подобные сведения не только портят репутацию компании, но и могут нести финансовые потери. Причем не только на уровне отдельно взятой организации, а целой страны.

Twitter как инструмент кибервойн

Говорить о необходимости информационной безопасности, защиты персональных данных, поголовной установке DLP-систем сегодня становится хорошим тоном. Ни одна лента новостей не обходится так или иначе без подобной информации: то хакера поймали, но очередную дыру в популярном софте залатали, то снова оштрафовали за хищение сведений о пользователях Google. Который на завтра радостно сообщит, что нашел в Chrome новую уязвимость, устранил ее и теперь можно спать спокойно.

Конечно, призывы о необходимости вдумчивого и осторожного обращения с информацией важны. Вот только не кажется ли, что такое обилие сведений об этом просто-напросто рождает новый тренд — моду на информационную безопасность? А следование тренду, как известно, очень часто оказывается необдуманным и нелогичным. Что в сфере ИБ очень и очень плохо, и может серьезно навредить и финансовому положению компании и ее имиджу.

Предпосылок к этому предостаточно.

Во-первых, растрата финансов на ненужные меры безопасности. Мол, все солидные компании ставят себе DLP-системы, мы же не хуже, тоже поставим, утечек не будет, деньги сэкономим. И не важно, что в «солидной компании» в штате десять человек, а компьютеры для работы есть только у пяти. И ведь найдутся на просторах нашей необъятной родины разработчики и интеграторы, которые согласятся внедрить систему в такую фирму и потешить чувство гордости ее директора.

Впрочем, такой вариант еще не так уж и плох — DLP-то будет работать, и вреда (кроме потери честно заработанных денег, конечно) не нанесет. Намного хуже, когда в погоне за совершенной защитой страдает элементарная основа безопасности. Можно установить новейшие биометрические сканеры на каждую дверь, настроить двухэтапную аутентификацию для открытия каждого файла, навесить камеры на каждом углу, но забыть про банальный сетевой экран. И вот уже корпоративные сведения благополучно утекают в сеть Интернет к конкурентам, несмотря на все совершенные и дорогие защитные меры.

Безопасность всегда требовала вдумчивого аналитического подхода, а при наличии нынешнего арсенала защиты информации необходимость этих требований возрастает в несколько раз. Уже мало оценить, что и как необходимо защищать. Нужно больше — соотнести стоимость установки систем безопасности с возможной выгодой злоумышленника при хищении информации. И однозначного алгоритма, работающего во всех случаях, здесь нет. Нынешняя мода предъявляет к сотрудникам службы безопасности намного более высокие требования...

А между тем, только что одним постом по безопасности стало больше. Ну что же, добро пожаловать в тренд, господа!

Мода на безопасность

Безусловно, контроль работников организации должен вестись таким образом, чтобы не мешать их основной деятельности. И внедрение контроля в тех организациях, где раньше он практически отсутствовал, может привести к недовольству среди сотрудников. Также нередко возникают вопросы касательно правового аспекта подобного контроля.

Безусловно, совершенно безболезненно внедрить ту же DLP-систему вряд ли удастся. К сожалению, в некоторых компаниях возникали ситуации, когда некоторые сотрудники, привыкшие к отсутствию строгого контроля за своей деятельностью, отказывались от продолжения работы в данной организации, мотивируя своё решение отсутствием доверия со стороны руководства. Как показывает практика, подробные разъяснения сотрудников, отвечающих за информационную безопасность, о том, в силу каких причин необходим контроль за персоналом организации, позволяют добиться если не одобрения подобных мер, то, по крайней мере, их понимания и принятия.

Что касается законности «слежки» за сотрудниками, мониторинга их переписки и т.п., то эксперты сходятся в мнении о том, что средства автоматического мониторинга, не требующие постоянного человеческого участия в анализе информации, никаким образом не мешают реализации конституционных прав сотрудников на тайну переписки. Условием успешной работы полностью автоматизированной системы в организации является отсутствие возможности блокировки информации – в противном случае убытки от простоев в работе рискуют перекрыть все плюсы данной системы.

Необходимо также заметить, что контроль дисциплинирует сотрудников, и эффективность работы (если можно так выразиться, КПД) возрастает, по нашим исследованиям, до 40%   это происходит благодаря тому, что сотрудник перестает сидеть в «аське», «Одноклассниках» и т.д. Таким образом, DLP-системы еще и позволяют повысить эффективность работы и повысить показатели каждого из сотрудников и организации в целом.

Некоторые аспекты контроля сотрудников

Хочу поговорить на тему, которая напрямую ИБ в России, вроде бы, не касается, но которая, тем не менее, связана с вопросами  безопасности и приватности. Тема эта - остановка торгов по биткоинам после их резкого обвала.

Надеюсь, что все здесь знают, что такое биткоины и почему они вообще могут интересовать тех, кто работает в сфере ИБ. Если кто-то не знает, можно почитать здесь, что такое BitCoin. Я же перейду к сути обсуждаемой новости.

Крупнейшая виртуальная биржа MT.Gox объявила о временном прекращении торгов по виртуальной валюте Bitcoin после того, как ее стоимость рухнула за сутки на 50% с 260 до 130 долларов за 1 bitcoin. На MT. Gox сосредоточено до 90% всего оборота Bitcoin. В распространенном биржей коммюнике отмечается, что "в результате резкого увеличения объемов операций люди начали паниковать и продавать крупные партии "биткоин", что привело к перегрузке операционной системы", передает ИТАР-ТАСС.

http://www.newsru.com/finance/12apr2013/bitcoin.html

На самом деле, обвал Bitcoin не такой уж и страшный - они всё равно стоят почти в 10 раз дороже, чем в начале года. Вы знаете еще хоть одну валюту, которая может дорожать и дешеветь с такой же скоростью? Зимбабвийский доллар? Так он уже почил в бозе, и не дорожал никогда. Белорусский рубль? Как передает наш минский офис, в последний  год его курс поменялся от силы на 10%.

Bitcoin - действительно валюта будущего, я в это верю. Пусть сегодня она удобна для киберпреступников тем, что биткоины тотально анонимны - зато биткоин никак не зависит ни от одного правительства в мире, это реально интернациональная валюта, ни чета нынешнему евро. И еще - Bitcoin идеально приспособлен для мира, в котором платежи осуществляют через смартфон, а товары заказывают с другого конца света, и это получается проще и дешевле, чем покупать их в местном магазине.

На самом деле, конечно, у биткоинов непростая миссия - изменить сознание потребителей, привыкших к карточкам и банкам. Но сегодня биткоин реально безопаснее, чем любая карта любого банка, единственное, что действительно огорчает - это ограниченное число мест, где за биткоины можно что-нибудь купить. Но список продавцов постоянно растет, и, думаю, в будущем не принимать биткоин будет таким же моветоном, как не принимать PayPal или, в случае России, WebMoney.

В общем и целом, я верю в то, что у Bitcoin большое будущее. А вы?

Ждет ли нас биткоиновый рай?

Что бы там ни говорили, но у большинства компаний работа службы (или отдела - как его ни назови, суть всё та же) информационной безопасности построена на расследовании уже произошедших инцидентов. В то же время, вряд ли кто-то будет спорить с тем, что это не совсем, скажем прямо, правильный подход к этому делу, и что безопасник должен уделять профилактике инцидентов столько же, если не больше, времени, чем их расследованию.

Если расследовать инциденты без DLP-системы ещё худо-бедно можно (поднимать логи серверов и делать прочую работу, которая выводит из себя не только безопасника, но и помогающего ему сисадмина), то с профилактикой без DLP вообще полный абзац. Потому что основа профилактики - это работа с подозрительными работниками, которые потенциально могут стать виновниками утечек информации. Но чтобы подозревать, нужны какие-то данные, которые расскажут о поведении работника в Сети, да и на рабочем месте, в принципе, тоже. Где взять такие данные, как не с помощью DLP-системы?

Впрочем, DLP-системы тоже бывают разными, и не все они, скажем прямо, одинаково полезны. Потому что если DLP-система не может анализировать связи между адресатами и строить графы, то безопаснику достаточно сложно определить, кто из сотрудников общался с тем, кто общался с конкурентами. А если DLP-система не умеет отслеживать появление конфиденциальных документов на рабочих станциях сотрудников, то безопаснику сложно узнать, что-то кто-то уже приготовился "слить" базу поставщиков деталей, которую заблаговременно скопировал себе на винчестер...

Это я всё к чему? К тому, что хорошая DLP-система - та, которая заточена на работу на опережение. А та система, которая на первое место ставит свои возможности по ведению архива инцидентов - она, как бы вам сказать... Всё-таки, отдел информационной безопасности при живом бизнесе - это что-то вроде иммунной системы, и когда она может разбираться со всеми только постфактум, болезнь не заставит себя ждать.

Работа на опережение

Контроль интернет-трафика является важным аспектом обеспечения информационной безопасности в любой компании. Однако далеко не везде он организован должным образом. О том, в чем кроются причины этого, и как исправить положение вещей, мы и поговорим.

Наиболее простой способ контроля трафика, выбираемый множеством компаний, заключается в полном запрете коммуникаций по различным каналам – например, по ICQ, Skype и т.д. К сожалению, такой «контроль» недостаточно эффективен, потому что, во-первых, сотрудники находят возможность обойти запреты, а во-вторых, сотрудники лишаются удобных и эффективных способов коммуникации друг с другом и с внешними адресатами (партнерами, клиентами и т.д.). Поэтому, очевидно, лучше все-таки отказаться от запретов и применить какие-либо менее радикальные меры контроля.

Для начала стоит рассмотреть, для чего вообще применяется контроль трафика. Основные цели обычно такие: предотвращение нерационального использования оплаченного работодателем времени, предотвращение утечек конфиденциальной информации, предотвращение проникновения вредоносного ПО и злонамеренных хакеров в корпоративную сеть.

Очевидно, что с таким широким спектром задач не справиться с помощью только одного какого-либо средства контроля. Обычно контроль использования рабочего времени в небольших компаниях реализуется с помощью программ наподобие StaffCop или Spector 360, которые позволяют в режиме реального времени узнавать, какие приложения запускает пользователь, какие сайты посещает и т.д. Применение подобных средств в масштабах крупных компаний не всегда удобно, поскольку они предполагают ручную обработку данных мониторинга. В тех организациях, где работают сотни работников, проследить за каждым из них в режиме реального времени практически невозможно. Поэтому в больших компаниях подобные средства играют роль вспомогательных, и могут использоваться разве что для периодического контроля выбираемых случайным образом работников.

Для защиты от вредоносного ПО и хакерских атак используют, соответственно, антивирусы и файрволлы (брандмауэры). Эти средства защиты наверняка хорошо знакомы большинству наших читателей, поскольку помимо корпоративных сетей они активно используются и домашними пользователями. Этими средствами пользуются почти все компании, однако нужно помнить, что не обязательно покупать дорогие и разрекламированные программные продукты, чтобы обеспечить себе надежную защиту. Перед решением о приобретении того или иного антивируса или файрвола стоит проверить его работу в реальных условиях корпоративной сети – благо, подавляющее большинство подобных программных продуктов имеют пробные версии, которые можно бесплатно скачать с сайта разработчика.

А вот с предотвращением утечек данных не все так просто. DLP-системы – программные продукты, применяемые для этого, – не всегда имеют бесплатную тестовую версию, но, конечно, лучше предпочесть те из них, которые поддерживают подобную возможность. Принцип работы DLP-системы достаточно прост: она создает виртуальный защитный контур вокруг корпоративной сети организации, с помощью которого фильтрует весь входящий и исходящий трафик, обнаруживая в нем конфиденциальную информацию. Соответственно, при обнаружении подобной информации DLP-система может как остановить ее дальнейшую передачу, так и произвести иные действия, например, просто сообщить об этом ответственному за информационную безопасность. Как легко догадаться, с помощью DLP-системы удобно также и следить за тем, не посещают ли сотрудники в рабочее время какие-либо развлекательные ресурсы, не тратят ли слишком много времени на общение по Skype и т.д. При этом, в отличие от обычных программ надзора, DLP-система умеет работать в полностью автоматическом режиме, что делает ее чрезвычайно удобным решением для крупных организаций.

Таким образом, для контроля трафика целесообразно использовать в компаниях любого размера – антивирус и файрвол, в небольших организациях – специализированные программы надзора, в крупных компаниях – DLP-системы.

Как контролировать интернет-трафик?

В Японии, конечно, теперь всё настолько высокотехнологично, что нам их в ближайшие 20-30 лет никак не  догнать. Но давайте посмотрим на то, что там происходит сегодня, чтобы узнать, чего нам ожидать в не очень скором времени.

Япония создаст отдел полиции по борьбе с киберпреступностью. Об этом сообщило Agence France-Presse со ссылкой на Национальное полицейское агентство Японии. Отдел будет состоять из 140 сотрудников и будет расквартирован в Токио, Осаке и других крупных городах. Киберполицейские будут изучать источники угроз, а также расследовать уже происшедшие атаки. В их обязанности войдет защита электронных систем государственных и военных организаций, а также электростанций и нефтехранилищ. Специалисты будут набираться из частных компаний. Помимо профессиональных навыков, они будут обязаны владеть английским, китайским, корейским и русским языками.

http://www.itsec.ru/newstext.php?news_id=91024

Что и сказать, киберполиция — это уже давно не роскошь, а требование времени. Кстати, обратите внимание на требование по поводу русского языка — это самое наглядное подтверждение тому, что мы с вами имели удовольствие обсуждать буквально вчера.

Очень мудро даже не само постановление о создании киберполиции, хотя, конечно, чего уж там, японцы  однозначно молодцы. Хочется очень поприветствовать инициативу по набору киберполицейских из различных частных компаний, где, несомненно, гораздо больше шансов встретить по-настоящему квалифицированного специалиста. Впрочем, конечно, для того, чтобы реализовать это, нужно предложить конкурентоспособные условия  работы и оплаты труда. Впрочем, в Японии работать на государство — почетно.

Ну а в целом, конечно, обидно, дамы и господа. Пока у нас  занимаются разной ерундой вроде черных списков, в Японии действительно решают проблемы информационной безопасности на государственном уровне. Это в современных условиях, как сказал бы Владимир Ильич, архиважно. Жаль, что у нас этого до сих пор не понимают.

Очередная полезная инициатива

Разговорились намедни с коллегами о том, почему Россия так часто попадает разные «хакерские рейтинги», и причем, надо сказать, далеко не на последние места. Спешу, как всегда, поделиться своим мнением :)

На самом деле, ничего удивительного в таких данных нет, Россия уже давно и прочно вошла во всевозможные «хакерские» рейтинги, и многие из них не первый год возглавляет. Вторая страна, которая так же активно «хакерствует» в Сети – это Китай, но если в Китае эта активность в чем-то (я бы сказал, почти во всем) обусловлена интересами правительства, то у нас, напротив, активность хакеров можно объяснить, в том числе, и отсутствием интереса государственных органов к из деятельности.

Россия удобна и для отечественных киберпреступников, и для зарубежных, именно поэтому ее показатель по числу исходящих атак и превышает другие страны в разы. Хорошая телеком-инфраструктура (а телекомунникационная отрасль у нас, пожалуй, одна из немногих, кто не отстает от запада) плюс знаменитая строгость российских законов, компенсирующаяся необязательностью их исполнения, создают благоприятную среду для деятельности тех, кого часто называют хакерами. Россия сдает в аренду сервера, которые используют зарубежные сетевые «деятели», атака же выглядит так, как будто проводится россиянами.

Каков процент отечественных «хакеров»? Конечно, здесь трудно давать точные оценки, но я уверен, что их в этом числе в разы меньше, чем европейских и американских, которым, в отличие от наших, действительно есть что терять в случае раскрытия их действий. Тем же китайцам Россия как площадка для атак не очень интересна, потому что их особенно никто не трогает (даже наоборот) на родине.

Можно ли изменить ситуацию? Думаю, для этого нужны, прежде всего, политическая воля и законодательные изменения, с чем есть некоторые затруднения. Впрочем, это уже тема для другого рода разговоров...

Россия и «хакерские рейтинги»